Челябинец нашел серьезную уязвимость страниц «ВКонтакте»

Челябинец, зарегистрированный под ником Алекс Ребл, нашел номера телефонов премьер-министра Дмитрия Медведева, основателя «ВКонтакте» Павла Дурова и главного разработчика соцсети Олега Илларионова, к которым привязаны их аккаунты. Администрации ВК пришлось признать наличие «дыры» в системе. Сам же молодой человек не планировал пользоваться найденными номерами – он искал телефон своей девушки.

«Пытался найти во «ВКонтакте» новый номер телефона девушки, чтобы помириться. Решил добавить ее подругу в закладки, чтобы, если что – ей написать. Еще со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность, – рассказал молодой человек на странице сообщества «Код Дурова». – Сервер отдает больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: {«name»:«имя»,«lastname»:«фамилия»,«reg_phone»:«номер в закрытом доступе»,«email»:«Эл.адрес в закрытом доступе.»} – по сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова – я не поверил. Затем получил номер Дмитрия Медведева – тут я понял, что это конкретный ляп».

О найденном баге Алекс Ребл сообщил старшему разработчику Олегу Илларионову и, как показалось самому web-специалисту, заставил команду «ВКонтакте» понервничать. Он также пытался связаться с основателем соцсети Павлом Дуровым. «Я пытался привлечь внимание Дурова через восстановления пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило», – рассказал Алекс Ребл.

Интересно, что ранее челябинцу тоже удавалось находить недоработки в соцсети. Например, просматривать удаленные записи и картинки, а также залезать на страницы к тем, кто добавил его в черный список. Впрочем, ничего кроме известности за такое случайное открытие молодой человек не получил.

«А ведь это все ради тебя, Кать. Не жалуюсь, денег мне, конечно, не заплатили (перестарался), да и не надо мне, я тебя искал, получил номер твоей Танюхи, Настёны, Ксении... а вот твоего номера не нашел. Спокойной ночи тебе!» – написал он на своей странице.